対北朝鮮関連のアンケートに偽装した CHM マルウェア(Kimsuky) Posted By ATCP , 2023년 03월 13일 AhnLab Security Emergency response Center(ASEC)は最近 Kimsuky グループが製作したと思われる CHM マルウェアを確認した。このマルウェアのタイプは、以下の ASEC ブログおよび Kimsuky…
MS-SQL サーバーを対象とした Netcat 攻撃事例(LOLBins) Posted By ATCP , 2023년 03월 13일 AhnLab Security Emergency response Center(ASEC)は最近、不適切に管理されている MS-SQL サーバーを対象に Netcat マルウェアが拡散していることを確認した。Netcat は TCP /…
脆弱性攻撃によって拡散中の PlugX マルウェア Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)は中国の遠隔操作プログラムである Sunlogin および AweSun によって遠隔コード実行の脆弱性攻撃を通して PlugX マルウェアがインストールされていることを確認した。 Sunlogin…
韓国国内の金融企業セキュリティメールを詐称した CHM マルウェア:RedEyes(ScarCruft) Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)分析チームは RedEyes 攻撃グループ(also known as APT37、ScarCruft)が製作したと思われる CHM マルウェアが韓国国内のユーザーを対象に拡散している状況を捕捉した。2月に紹介した…
復号化が可能な iswr ランサムウェアが韓国国内で拡散中 Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)はモニタリング中に、iswr ランサムウェアが配布されていることを確認した。 iswr ランサムウェアは、ファイルの暗号化を行う際にファイル名の後ろに iswr という拡張子が追加で付与される特徴があり、このランサムウェアのランサムノートは STOP ランサムウェアと同じ形態を持っている。しかし、暗号化方式や、暗号化対象の拡張子およびフォルダーのようなランサムウェアの動作ルーティンが…
ASEC マルウェア週間統計 ( 20230227~20230305 ) Posted By ATCP , 2023년 03월 09일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月27日(月)から3月5日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではバックドアが51.4%と1位を占めており、その次にインフォスティラーが31.2%、ダウンローダーが16.5%、ランサムウェアが0.9%の順に集計された。 Top 1 –…
RDP を通して拡散している GlobeImposter ランサムウェア(with MedusaLocker) Posted By ATCP , 2023년 03월 08일 ASEC(AhnLab Security Emergency response Center)は最近 GlobeImposter ランサムウェアが活発に拡散していることを確認した。この攻撃は MedusaLocker 攻撃者によって行われている。具体的なパスは確認できなかったが、感染ログで確認できる様々な根拠によって、攻撃が RDP を通して行われていると推定することができる。 攻撃者は…
ASEC 週間フィッシングメールの脅威トレンド (20230219 ~ 20230225) Posted By ATCP , 2023년 03월 06일 ASEC では自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年02月19日から2月25日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 68%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下の<偽のログインページ C2>を参照 その次に多かったタイプは情報窃取マルウェア(Infostealer, 26%)である。情報窃取マルウェアは AgentTesla、FormBook…
ASEC マルウェア週間統計 ( 20230220~20230226 ) Posted By ATCP , 2023년 02월 28일 ASEC(AhnLab Security Emergency response Center)では、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2023年2月20日(月)から2月26日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではバックドアが51.0%と1位を占めており、その次にダウンローダーが24.7%、インフォスティラーが22.7%、ランサムウェアが1.4%、コインマイナーが0.2%の順に集計された。 Top 1 –…
ASEC 週間フィッシングメールの脅威トレンド (20230212 ~ 20230218) Posted By ATCP , 2023년 02월 27일 ASEC では自動解析システム(RAPIT)とハニーポットを活用してフィッシングメールの脅威をモニタリングしている。本記事では、2023年2月12日から2月18日までの一週間で確認されたフィッシングメール攻撃の拡散事例と、これらをタイプ別に分類した統計情報を紹介する。一般的にはフィッシング攻撃者が社会工学技法を利用し、主にメールを利用して機関、企業、個人などに偽装したり、これらを詐称することで、ユーザーにログインアカウント(クレデンシャル)情報を流出させる攻撃のことを指す。また、フィッシングは広い意味で、攻撃者が各対象を相手にする情報流出、マルウェア配布、オンライン詐欺行為などの攻撃を可能にする不正な手口(technical subterfuge)を意味する。本記事では、フィッシングは主にメールで配布される攻撃というところにフォーカスをあてている。そして、フィッシングメールをベースに行われる様々な攻撃方式を詳細にカテゴライズする。そしてまだ発見されていなかった新たなタイプや注意すべきメールをキーワードとともに紹介し、ユーザーの被害の最小化に努める。本記事で扱うフィッシングメールは添付ファイルのあるメールのみとする。添付ファイルがなく、不正なリンクのみが本文に含まれているメールは本記事では扱わない。 フィッシングメールの脅威タイプ 一週間のフィッシングメールの添付ファイルのうち、最も多いタイプはの偽のページ(FakePage, 39%)であった。偽のページは攻撃者がログインページ、広告ページの画面構成、ロゴ、フォントをそのまま模倣したページで、ユーザーに自分のアカウントとパスワードを入力するように誘導し、入力された情報は攻撃者の C2 サーバーに転送されたり、偽のサイトへのログインを誘導したりする。以下<偽のページ C2> 参照 その次に多かったタイプは SmokeLoader、 GuLoaderのようなローダーを含んでいる ダウンローダー(Downloader, 28%)である。3番目に多かったタイプは情報窃取型マルウェア(Infostealer,…
